52007DC0228

[pic] | COMISSÃO DAS COMUNIDADES EUROPEIAS |

Bruxelas, 2.5.2007

COM(2007) 228 final

COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO

relativa à promoção da protecção de dados através de tecnologias de protecção da privacidade

COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO

relativa à promoção da protecção de dados através de tecnologias de protecção da privacidade (Texto relevante para efeitos do EEE)

INTRODUÇÃO

O desenvolvimento intensivo e continuado das tecnologias da informação e das comunicações (TIC) está constantemente a oferecer novos serviços que melhoram a vida das pessoas. Em larga medida, a matéria-prima para interacções no ciberespaço é constituída pelos dados das pessoas que transaccionam nesse espaço bens e serviços, estabelecem ou mantêm contactos com outros ou comunicam as suas ideias através da Web. Juntamente com as vantagens decorrentes desta evolução, as pessoas passaram também a ter de enfrentar novos riscos, como o roubo de identificação, a definição discriminatória de perfis pessoais e a vigilância contínua ou fraudulenta.

A Carta dos Direitos Fundamentais da União Europeia reconhece no artigo 8.º o direito à protecção dos dados de carácter pessoal. Este direito fundamental é regido pelo quadro legislativo comunitário em matéria de protecção de dados de carácter pessoal, que inclui em especial a Directiva 95/46/CE[1] relativa à protecção dos dados e a Directiva 2002/58/CE[2] relativa à privacidade nas comunicações electrónicas ("Directiva ePrivacidade"), bem como o Regulamento (CE) 45/2001[3] relativo ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários. Estes instrumentos prevêem várias disposições de fundo que impõem obrigações aos responsáveis pelo tratamento dos dados e reconhecem direitos às pessoas em causa. Prevêem igualmente sanções e medidas correctivas adequadas em caso de infracção, estabelecendo mecanismos de execução para as tornar eficazes.

No entanto, tal dispositivo pode revelar-se insuficiente quando os dados pessoais circulam em todo o mundo através de redes de TIC e o tratamento de dados envolve diferentes jurisdições, frequentemente exteriores à UE. Nestas circunstâncias, pode considerar-se que se aplicam as regras actuais e que as mesmas proporcionam uma resposta jurídica clara. Além disso, pode ser identificada a autoridade competente para a sua execução. Todavia, podem surgir obstáculos práticos consideráveis decorrentes das dificuldades ligadas à tecnologia utilizada, que implica o tratamento de dados por parte de diferentes intervenientes em diferentes localizações, e às dificuldades inerentes à execução de decisões administrativas e judiciárias noutra jurisdição, em especial em países terceiros.

Embora, em termos estritos, sejam os responsáveis pelo tratamento de dados que têm a responsabilidade jurídica pelo cumprimento das regras em matéria de protecção de dados, há outras pessoas que são também responsáveis em parte pela protecção de dados do ponto de vista da sociedade ou ético. Referimo-nos às pessoas que concebem as especificações técnicas e as que criam ou executam as aplicações ou os sistemas operativos.

O artigo 17.º da Directiva relativa à protecção dos dados estabelece a obrigação do responsável pelo tratamento dos dados de pôr em prática medidas técnicas e organizativas adequadas para garantir um nível de protecção adequado tendo em conta a natureza dos dados e os riscos representados pelo seu tratamento. A utilização de tecnologia que contribuem para o cumprimento da legislação, em especial as regras de protecção de dados, já está prevista em certa medida na Directiva ePrivacidade[4].

Uma etapa suplementar no sentido do objectivo prosseguido pelo quadro legal, isto é, restringir o mais possível o tratamento de dados de carácter pessoal e recorrer à utilização de dados anónimos ou a pseudónimos sempre que possível, poderia ser apoiada por medidas denominadas "tecnologias de protecção da privacidade", que contribuiriam para garantir que as infracções às regras em matéria de protecção dos dados e as violações dos direitos individuais sejam não somente proibidas e sujeitas a sanções, mas mais difíceis do ponto de vista técnico.

O objecto da presente comunicação, que dá seguimento ao primeiro relatório sobre a implementação da directiva relativa à protecção de dados[5], consiste em analisar os benefícios das tecnologias de protecção da privacidade, em expor os objectivos da Comissão neste domínio em termos de promoção destas tecnologias e em definir acções concretas para atingir estes objectivos, apoiando o desenvolvimento destas tecnologias e a sua utilização pelos responsáveis do tratamento dos dados e pelos consumidores.

O QUE SÃO AS TECNOLOGIAS DE PROTECÇÃO DA PRIVACIDADE?

As tecnologias de protecção da privacidade são objecto de diversas definições nos meios científicos e no âmbito dos projectos-piloto neste domínio. Por exemplo, de acordo com o projecto PISA (Privacy Incorporate Software Agent) financiado por fundos comunitários, as tecnologias de protecção da privacidade designam um sistema coerente de medidas no domínio das TIC que protegem a privacidade, suprimindo ou restringindo os dados de carácter pessoal ou evitando o tratamento inútil e/ou não desejado desses dados sem, no entanto, diminuir a funcionalidade do sistema de informação. O recurso às tecnologias de protecção da privacidade permite conceber sistemas e serviços de informação e de comunicação que reduzem a recolha e a utilização de dados de carácter pessoal e facilitam o cumprimento das regras em matéria de protecção dos dados. No seu primeiro relatório sobre a implementação da directiva relativa à protecção de dados, a Comissão considera que "... o uso de medidas tecnológicas apropriadas é um complemento essencial das acções jurídicas e deveria ser uma parte integrante de quaisquer esforços para atingir um nível suficiente de protecção da privacidade ..." . A utilização de tecnologias de protecção da privacidade deverá tornar mais difícil as infracções a certas regras de protecção dos dados e/ou contribuir para as detectar.

No universo dinâmico das TIC, a eficácia de diferentes tecnologias de protecção da privacidade para assegurar a protecção da privacidade, nomeadamente no que se refere ao respeito da legislação em matéria de protecção dos dados, é variável e evolui no tempo. A sua tipologia também varia. Pode tratar-se de ferramentas autónomas que exigem uma intervenção dos consumidores (que devem comprá-las e instalá-las nos seus computadores) ou de ferramentas integradas na arquitectura de sistemas de informação. Podem aqui ser mencionados vários exemplos destas tecnologias:

- A anonimização automática dos dados após um certo período de tempo obedece ao princípio segundo o qual os dados tratados devem ser conservados numa forma que permita a identificação das pessoas em causa durante o período de tempo estritamente necessário para a realização das finalidades para que foram inicialmente recolhidos.

- As ferramentas de cifragem contra a pirataria informática quando as informações são transmitidas através da Internet sustentam a obrigação do responsável do tratamento de tomar medidas adequadas para proteger os dados de carácter pessoal contra o tratamento ilícito.

- Os sistemas contra os cookies, que bloqueiam os cookies colocados nos computadores dos utilizadores para executarem determinadas instruções sem que os utilizadores disso tenham conhecimento, reforçam o cumprimento do princípio segundo o qual os dados devem ser tratados leal e licitamente e as pessoas em causa devem ser informadas do tratamento em curso.

- A P3P (platform for privacy preferences), que permite a análise por parte dos utilizadores da Internet das políticas em matéria de confidencialidade dos sítios da Web e a comparação com as suas preferências a nível das informações que pretendem divulgar, contribui para garantir que o consentimento da pessoa em causa quanto ao tratamento dos dados que lhe dizem respeito seja um consentimento informado.

A Comissão apoia as tecnologias de protecção da privacidade

A Comissão considera que as tecnologias de protecção da privacidade devem ser desenvolvidas e utilizadas mais amplamente, nomeadamente no âmbito do tratamento de dados de carácter pessoal através de redes de TIC. A Comissão considera que um recurso mais generalizado a estas tecnologias contribui para reforçar a protecção da privacidade e contribui para o cumprimento das regras em matéria de protecção dos dados. A utilização das tecnologias de protecção da privacidade seria complementar ao quadro jurídico e aos mecanismos de execução existentes.

Na Comunicação relativa a uma estratégia para uma sociedade da informação segura, COM (2006) 251, de 31 de Maio de 2006, a Comissão convidou em especial o sector privado a "estimular a implantação de produtos, processos e serviços de reforço da segurança, para impedir e combater o roubo de dados de identificação e outros ataques violadores da privacidade" . Além disso, no roteiro da Comissão relativo à criação de um quadro europeu de eIDM até 2010[6], um dos princípios fundamentais que regulam a gestão de identificação electrónica é que "o sistema deve ser seguro, deve aplicar as garantias necessárias para a protecção da privacidade do utilizador e permitir uma adaptação do seu modo de utilização aos interesses e sensibilidades locais ".

A intervenção de diferentes agentes no tratamento dos dados e a existência de diferentes jurisdições nacionais competentes poderá tornar difícil a aplicação do quadro legal. Por outro lado, as tecnologias de protecção da privacidade poderão garantir que certas infracções às regras de protecção dos dados, que acarretam violações dos direitos fundamentais, incluindo o direito à privacidade, seja evitadas porque tais infracções se tornariam tecnicamente mais difíceis de cometer. A Comissão tem consciência de que a tecnologia - embora desempenhe um papel essencial na sua protecção - não é suficiente por si só para garantir a privacidade. As tecnologias de protecção da privacidade devem ser aplicadas em conformidade com um quadro normativo que inclua regras vinculativas em matéria de protecção dos dados que oferecem a todos as pessoas vários níveis negociáveis de protecção da privacidade. O recurso a estas tecnologias não significa que os operadores podem ser dispensados de algumas das suas obrigações legais (por exemplo, a de permitir aos utilizadores o acesso aos seus dados).

As tecnologias de protecção da privacidade devem igualmente permitir servir melhor interesses públicos importantes. O quadro jurídico em matéria de protecção dos dados prevê restrições dos princípios gerais e ingerências nos direitos individuais quando estejam em causa interesses públicos essenciais, tais como a segurança pública, a luta contra a criminalidade ou a saúde pública. As condições para tais restrições e ingerências estão estabelecidas no artigo 13.º da Directiva relativa à protecção de dados e no artigo 15.º da Directiva ePrivacidade. São substancialmente semelhantes às condições estabelecidas no artigo 8.º da Convenção Europeia dos Direitos do Homem (CEDH), em especial tal ingerência deve estar prevista na lei e deve ser proporcional e necessária numa sociedade democrática para a satisfação de interesses públicos essenciais[7]. O recurso às tecnologias de protecção da privacidade não deve impedir que os organismos responsáveis pela aplicação da lei ou outras autoridades competentes intervenham no exercício legal das suas funções para a satisfação de um interesse público essencial como, por exemplo, a luta contra a cibercriminalidade, o combate ao terrorismo ou a prevenção da propagação de doenças infecciosas. Para atingir estes objectivos, as autoridades responsáveis devem, em caso de necessidade, estar em condições de aceder aos dados de carácter pessoal, no respeito dos procedimentos, condições e garantias previstas na legislação.

Um melhor cumprimento das regras de protecção dos dados teria igualmente um impacto positivo na confiança dos consumidores, em especial no ciberespaço. Diversos serviços prometedores e de valor acrescentado que dependem da transferência de dados pessoais através das redes informáticas, como eAprendizagem, eGoverno, eSaúde, eBanca, eComércio ou os sistemas "automóvel inteligente" beneficiariam certamente. As pessoas poderiam estar seguras de que os dados que fornecem para se identificarem, para usufruírem de serviços ou para efectuarem pagamentos serão utilizados apenas para fins legítimos e que a sua participação na comunidade digital não se realiza em detrimento dos seus direitos.

ACÇÕES DESENVOLVIDAS E A REALIZAR

A fim de prosseguir o objectivo de reforçar o nível da privacidade e da protecção dos dados na Comunidade, promovendo nomeadamente o desenvolvimento e a utilização das tecnologias de protecção da privacidade, a Comissão propõe-se realizar as acções a seguir apresentadas, associando um vasto leque de intervenientes, incluindo os seus próprios serviços, as autoridades nacionais, a indústria e os consumidores.

Nesses debates deve prestar-se a devida atenção à situação particular das pequenas e médias empresas (PME) e às possibilidades de estas utilizarem tecnologias de protecção da privacidade ou de serem incentivadas a fazê-lo. A Comissão deveria abordar também, designadamente, a questão da confiança e da sensibilização, que revestem uma importância particular para as PME.

Primeiro objectivo: apoiar o desenvolvimento das tecnologias de protecção da privacidade

Para que a utilização das tecnologias de protecção da privacidade se generalize, é necessário envidar mais esforços a nível da concepção, desenvolvimento e produção de tais tecnologias. Embora os sectores público e privado já tenham iniciado em certa medida a realização desse objectivo, a Comissão considera que convém intensificar estas actividades. Para esse efeito, devem ser identificadas as necessidades ligadas a estas tecnologias e definidos os seus requisitos tecnológicos, devendo as actividades de IDT desenvolver as ferramentas necessárias.

Acção 1.1.: Identificar as necessidades e os requisitos tecnológicos das tecnologias de protecção da privacidade

Estas tecnologias dependem em larga medida da evolução das TIC. Uma vez delimitados os perigos colocados pela evolução tecnológica, devem ser definidos os requisitos adequados para uma solução de carácter tecnológico.

A Comissão incentivará diversos grupos interessados a encontrarem-se e a debaterem as tecnologias de protecção da privacidade. Estes grupos incluirão em especial representantes do sector das TIC, entidades empenhadas no desenvolvimento das tecnologias de protecção da privacidade, autoridades responsáveis pela protecção dos dados, organismos responsáveis pela aplicação das regras, parceiros tecnológicos, nomeadamente peritos nos domínios em causa, tais como serviços de eSaúde ou de segurança da informação, associações de defesa dos consumidores e dos direitos civis. Os interessados deverão examinar de forma regular a evolução da tecnologia, identificar os perigos a nível dos direitos fundamentais e da protecção dos dados e definir os requisitos técnicos de uma solução fundada nas tecnologias de protecção da privacidade. Este facto poderá implicar o aperfeiçoamento das medidas tecnológicas tendo em conta os diferentes riscos, os diversos dados em causa e a necessidade de preservar os interesses públicos, tais como a segurança pública.

Acção 1.2.: Desenvolver as tecnologias de protecção da privacidade

Após a identificação das necessidades e dos requisitos tecnológicos das tecnologias de protecção da privacidade, será conveniente tomar medidas concretas para chegar a um produto final pronto a ser utilizado.

A Comissão já tomou algumas medidas concretas tendo em conta a necessidade destas tecnologias. No âmbito do 6.º Programa-Quadro, a Comissão apoia o projecto PRIME[8], que aborda os problemas colocados pela gestão da identificação digital e pela privacidade na sociedade da informação. O projecto OPEN-TC[9] permitirá uma protecção da privacidade baseada em sistemas informáticos abertos de confiança, enquanto o projecto DISCREET[10] irá desenvolver software de configuração (middleware) para impor a privacidade nos serviços de redes especializados. No futuro, no âmbito do 7.º Programa-Quadro, a Comissão propõe-se apoiar outros projectos de IDT, bem como demonstrações-piloto em larga escala, a fim de suscitar e acentuar o interesse pelas tecnologias de protecção da privacidade. O objectivo consiste em fornecer as bases para a criação de serviços de protecção da privacidade que responsabilizem o utilizador, atenuando as disparidades jurídicas e técnicas existentes na Europa, através de parcerias entre os sectores público e privado.

A Comissão convida igualmente as autoridades nacionais e o sector privado e investirem no desenvolvimento das tecnologias de protecção da privacidade. Estes investimentos são fundamentais para que a indústria europeia possa liderar um sector com tendência para crescer à medida que estas tecnologias forem cada vez mais exigidas pelas normas tecnológicas e pelos consumidores cada vez mais sensibilizados pela necessidade de proteger os seus direitos no ciberespaço.

Segundo objectivo: apoiar a utilização das tecnologias de protecção da privacidade disponíveis pelos responsáveis pelo tratamento dos dados

As tecnologias de protecção da privacidade disponíveis só serão verdadeiramente benéficas se forem integradas e utilizadas de forma eficaz por equipamentos técnicos e ferramentas de software destinadas ao tratamento de dados de carácter pessoal. A participação do sector industrial que fabrica estes equipamentos e dos responsáveis do tratamentos dos dados que os utilizam para exercer as suas actividades é por conseguinte essencial.

Acção 2.1.: Incentivar a indústria a utilizar as tecnologias de protecção da privacidade

A Comissão acredita que todas as partes que intervêm no tratamento de dados de carácter pessoal beneficiariam de uma utilização mais ampla destas tecnologias. Como principal responsável pelo desenvolvimento e fornecimento de tecnologias de protecção da privacidade, a indústria das TIC tem um papel particularmente importante a desempenhar na promoção destas tecnologias. A Comissão convida todos os responsáveis pelo tratamento de dados a integrarem e aplicarem de uma forma mais ampla e sistemática estas tecnologias nos seus procedimentos. Para esse efeito, a Comissão organizará seminários com intervenientes importantes da indústria das TIC, nomeadamente os que desenvolvem tecnologias de protecção da privacidade, a fim de analisar a sua eventual contribuição para a promoção da utilização destas tecnologias junto dos responsáveis pelo processamento dos dados.

A Comissão realizará igualmente um estudo sobre os benefícios económicos das tecnologias de protecção da privacidade, cujos resultados serão divulgados por forma a incentivar as empresas, nomeadamente as PME, a utilizarem tais tecnologias.

Acção 2.2.: Assegurar o cumprimento de normas relevantes em matéria de protecção de dados de carácter pessoal através da utilização de tecnologias de protecção da privacidade

Se a promoção em larga escala das tecnologias de protecção da privacidade exige a participação activa da indústria das TIC, enquanto produtora destas tecnologias, o respeito das normas relevantes exige a adopção de medidas que vão para além da auto-regulamentação ou da boa vontade dos intervenientes. A Comissão apreciará a necessidade de elaborar normas relativas ao tratamento lícito de dados de carácter pessoal por tecnologias de protecção da privacidade, através de análises de impacto adequadas. Em função dos resultados destas análises, podem ser ponderados dois tipos de instrumentos:

- Acção 2.2. a) Normalização

A Comissão irá ponderar a necessidade de ter em conta o cumprimento das regras em matéria de protecção dos dados nas medidas de normalização. A Comissão esforçar-se-á por tomar em consideração, por um lado, as conclusões do debate entre todos os interessados nas tecnologias de protecção da privacidade no momento da preparação das acções que realizará neste domínio e, por outro, os trabalhos dos organismos de normalização europeus. Este facto será essencial, nomeadamente na medida em que o debate permitirá definir normas adequadas para a protecção dos dados que exijam a integração e a utilização de determinadas tecnologias de protecção da privacidade.

A Comissão poderá convidar os organismos de normalização europeus (CEN, CENELEC, ETSI) a definirem as necessidades específicas da Europa, as quais serão seguidamente apresentadas a nível internacional, através da aplicação dos acordos existentes entre os organismos europeus e internacionais de normalização. Se necessário, os organismos europeus de normalização devem instituir um programa de trabalho específico em matéria de normalização, que cubra as necessidades europeias, complementando assim os trabalhos em curso a nível internacional.

- Acção 2.2. b) Coordenação das regras técnicas nacionais em matéria de medidas de segurança para o tratamento de dados

As legislações nacionais adoptadas ao abrigo da Directiva relativa à protecção dos dados[11] confere às autoridades nacionais competentes nesta matéria uma certa margem para estabelecer os requisitos técnicos, formulando, por exemplo, orientações para os responsáveis pelo tratamento dos dados, analisando os sistemas existentes ou emitindo instruções técnicas. As autoridades nacionais responsáveis pela protecção dos dados poderão exigir igualmente a integração e utilização de certas tecnologias de protecção da privacidade quando o tratamento dos dados de carácter pessoal em questão assim o impuser. A Comissão considera que esta é uma área em que a coordenação das práticas nacionais poderia contribuir de forma positiva para a promoção da utilização das tecnologias de protecção da privacidade. Em especial através do Grupo de Trabalho do artigo 29.º[12], poderá contribuir no seu papel de analisar a aplicação uniforme das medidas nacionais adoptadas ao abrigo da directiva Por conseguinte, a Comissão convida o grupo de trabalho do artigo 29.º a prosseguir os seus trabalhos neste domínio, incluindo no seu programa uma actividade permanente de análise das necessidades em matéria de integração das tecnologias de protecção da privacidade nas operações de tratamento de dados como meio eficaz para garantir o cumprimento das regras em matéria de protecção dos dados. Estes trabalhos devem seguidamente dar lugar a orientações que as autoridades responsáveis pela protecção dos dados devem executar adoptando de maneira coordenada os instrumentos adequados a nível nacional.

Acção 2.3.: Promover a utilização das tecnologias de protecção da privacidade pelas autoridades públicas

As autoridades públicas, tanto a nível nacional como comunitário, procedem no exercício das suas atribuições a numerosas operações de tratamento que envolvem dados de carácter pessoal. As entidades públicas são obrigadas a respeitar os direitos fundamentais, nomeadamente o direito à protecção dos dados de carácter pessoal, e a garantir que sejam respeitados por outros, devendo, por esse motivo, dar um exemplo claro.

No que diz respeito às autoridades nacionais, a Comissão observa que a proliferação das aplicações no domínio do eGoverno constitui um meio para reforçar a eficácia do serviço público. Tal como sublinhado na Comunicação da Comissão relativa ao papel da administração em linha (eGoverno) no futuro da Europa [13], o recurso às tecnologias de protecção da privacidade no eGoverno é necessário para instaurar a confiança indispensável ao seu sucesso. A Comissão convida os governos a asseguraram a integração de garantias que assegurem a protecção dos dados nas aplicações de eGoverno, nomeadamente recorrendo o mais possível à utilização de tecnologias de protecção da privacidade a nível da concepção e aplicação destas aplicações.

No que se refere às instituições e órgãos da Comunidade, a Comissão assegurará o cumprimento dos requisitos previstos no Regulamento (CE) n.° 45/2001, nomeadamente recorrendo mais largamente às tecnologias de protecção da privacidade a nível da execução de aplicações TIC que implicam o tratamento de dados de carácter pessoal. Simultaneamente, convida as outras instituições da UE a fazerem o mesmo. A Autoridade Europeia para a Protecção de Dados, através do aconselhamento das instituições e órgãos comunitários, pode contribuir para a elaboração de regras internas em matéria de tratamento de dados de carácter pessoal. No momento de seleccionar novas aplicações TIC para seu próprio uso ou de desenvolver aplicações existentes, a Comissão estudará a possibilidade de integrar tecnologias que reforçam a protecção da privacidade. A importância destas tecnologias será reflectida na sua estratégia global de governação no domínio da informática. A Comissão continuará igualmente a sensibilizar o seu pessoal. Contudo, a aplicação destas tecnologias nas aplicações TIC da instituição depende da disponibilidade dos produtos correspondentes e deverá ser avaliada numa base casuística, em função da fase de desenvolvimento das aplicações.

Terceiro objectivo: incentivar a utilização de tecnologias de protecção da privacidade por parte dos consumidores

Os consumidores serão os mais preocupados em assegurar que os dados de carácter pessoal são utilizados de forma adequada, que as regras em matéria de protecção de dados são aplicadas correctamente e que as tecnologias de protecção da privacidade constituem um meio eficaz neste domínio.

Por conseguinte, os consumidores devem estar perfeitamente informados das vantagens da utilização das tecnologias de protecção da privacidade para limitar os riscos colocados pelas operações que envolvem o tratamento dos seus dados pessoais. Devem igualmente estar em condições de exercer uma escolha informada quando adquirem material informático e software, ou utilizam serviços em linha. Deverão estar sensibilizados para os riscos envolvidos, estando nomeadamente em condições de determinar se as tecnologias de protecção da privacidade oferecem uma protecção adequada. Consequentemente, deve ser prestada aos utilizadores informação simples e compreensível quanto às soluções tecnológicas destinadas a proteger a privacidade. A maior utilização de tecnologias de protecção da privacidade e de serviços em linha que integram tais tecnologias premiará por sua vez as empresas que as utilizam, o que poderá ter um efeito de bola de neve, incitando outras empresas a prestarem mais atenção ao cumprimento das regras em matéria de protecção dos dados. Para atingir este objectivo, devem ser tomadas medidas.

Acção 3.1.: Sensibilizar os consumidores

Deve ser adoptada uma estratégia coerente para sensibilizar os consumidores para os riscos inerentes ao tratamento dos seus dados, bem como para as soluções que as tecnologias de protecção da privacidade podem apresentar como complemento dos sistemas de recurso existentes previstos na legislação relativa à protecção dos dados. A Comissão tenciona lançar uma série de actividades de sensibilização para estas tecnologias à escala da UE.

A responsabilidade principal pelo exercício desta actividade cabe às autoridades nacionais competentes em matéria de protecção dos dados, que possuem já uma experiência preciosa neste domínio. A Comissão convida essas autoridades a alargarem as suas actividades de sensibilização por todos os meios ao seu alcance de modo a incluir informação sobre as tecnologias de protecção da privacidade. A Comissão convida igualmente o Grupo de Trabalho do artigo 29.º a coordenar as práticas nacionais no âmbito de um programa de trabalho coerente em matéria de sensibilização para as tecnologias de protecção da privacidade e a constituir um ponto de encontro para a partilha das melhores práticas já implantadas a nível nacional. Em especial, as associações de defesa dos consumidores e outros intervenientes, como a rede de Centros Europeus do Consumidor (ECC-Net), no seu papel de rede a nível da UE encarregada de aconselhar os cidadãos em relação aos seus direitos enquanto consumidores, poderão tornar-se parceiros no objectivo de educar os consumidores.

Acção 3.2.: Facilitar uma escolha informada dos consumidores: os rótulos de protecção da privacidade

A integração e a utilização de tecnologias de protecção da privacidade podem ser favorecidas se a presença destas tecnologias num determinado produto, bem como as suas principais características, forem facilmente reconhecíveis. Para esse efeito, a Comissão pretende estudar a viabilidade de um sistema europeu de rótulos de protecção da privacidade, que incluiria igualmente uma análise do impacto económico e social. O objectivo dos referidos rótulos consistiria em garantir que os consumidores reconheçam facilmente se um determinado produto garante ou reforça o cumprimento das regras em matéria de protecção dos dados no momento do seu tratamento, em especial através da integração de tecnologias de protecção da privacidade.

Para que o rótulo de protecção da privacidade possa atingir o seu objectivo, a Comissão considera que é conveniente observar os princípios seguintes:

- O número de sistemas de rótulos devia ser tanto quanto possível limitado. Com efeito, a proliferação de rótulos poderia criar maior confusão no consumidor e reduzir a sua confiança em todos os rótulos. Consequentemente, deve ser realizado um estudo sobre se e em que medida seria adequado incluir um rótulo europeu de protecção da privacidade num regime mais geral de certificação da segurança[14].

- Tal rótulo devia ser atribuído apenas se o produto estiver em conformidade com uma série de normas que correspondem às regras em matéria de protecção dos dados. Estas normas deviam ser o mais uniformes possíveis a nível da União.

- As autoridades públicas, em especial as autoridades nacionais responsáveis pela protecção dos dados, deviam desempenhar um papel importante no sistema, através da sua participação na definição das normas e procedimentos relevantes, bem como do controlo do bom funcionamento do sistema de rótulos.

Nesta perspectiva e tendo em conta a experiência adquirida em matéria de programas de rótulos noutros domínios (por exemplo, ambiente, agricultura, certificação da segurança de produtos e serviços), a Comissão irá lançar um diálogo com todos os interessados, incluindo as autoridades nacionais responsáveis pela protecção dos dados, as associações sectoriais e de defesa dos consumidores, bem como os organismos de normalização.

[1] Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, JO L 281 de 23.11.1995, p. 31.

[2] Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas), JO L 201 de 31.07.2002, p. 37.

[3] Regulamento (CE) 45/2001/CE do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados, JO L 8 de 12.1.2001, pp. 1-22.

[4] Considerando 46 e n.º 3 do artigo de 14.º da Directiva 2002/58/CE.

[5] COM (2003) 265(01) de 15.5.2003, ver http://eurlex.europa.eu/LexUriServ/site/pt/com/2003/com2003_0265pt01.pdf

[6] http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf

[7] Tribunal de Justiça Europeu, acórdão de 20.5.2003, proferido nos processos apensos cases C-465/00, C-138/01 e C-139/01 “Österreichischer Rundfunk e outros” (“Rechnungshof") COL. [2003] I-04989, pontos 71 e 72.

[8] https://www.prime-project.eu/

[9] http://www.opentc.net/

[10] http://www.ist-discreet.org/

[11] Por exemplo, o artigo 17.º.

[12] Grupo de Trabalho de protecção das pessoas no que diz respeito ao tratamento de dados pessoais, instituído pelo artigo 29.º da Directiva 95/46/CE.

[13] COM (2203) 567 final de 26.9.2003.

[14] Na sua Comunicação de 31 de Maio de 2006 relativa a uma estratégia para uma sociedade da informação segura – “Diálogo, parcerias e maior poder de intervenção" (COM (2006) 251 final), a Comissão já tinha convidado o sector privado a "trabalhar com vista à implantação de regimes de certificação da segurança pouco onerosos para produtos, processos e serviços adaptados às necessidades específicas da UE (nomeadamente no que respeita à privacidade)".